将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未和病毒。

    这种方法既能发现已知病毒，也能发现未和病毒，但是，它不能识别病毒种类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的排他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警，而且此法也会影响文件的运行速度。

    病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。用监视文件的校验和来检测病毒，不是最好的方法。这种方法当遇到软件版本更新、变更口令以及修改运行参数时都会误报警。

    校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。

    校验和法的优点是：方法简单、能发现未知病毒、被查文件的细微变化也能发现。其缺点是：必须预先记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽性病毒。

    摘自陈立新《计算机病毒防治百事通》 清华大学出版社